uniapph5授权成功后返回上一页_记一次授权系统的安全测试

72c7e746922b1dede24f051ddfd50193.png

山东泽鹿安全

威胁管理   漏洞运营   应急响应

a20cb8d91ba2e501caffe09bc8d57003.gif

原创声明:泽鹿安全原创文章,欢迎转载,请注明出处!

ID : 秋水

拿到授权系统IP,首先测一下目录找后台,Nmap扫一下端口,看看后台是不是在其他端口就可以了,这里很简单,后台很好找,就在Admin目录下,如下图

c9f6da5d52df1594a6a93de7c4dc488b.png

先看一下前台

1.  SQL注入漏洞

一般情况下还是想看看新闻详情页面,总觉得此页面会存在漏洞,但是很不友好,此页面测试了一下,过滤的相当全面

2fdf4b7122d0adf1597c5c7f07b2134b.png

只能换个页面,新闻列表,此页面是存在注入的

0102108e7b565a0107d95f3f6dc84bd1.png

但是测试了之后会发现输入and 1和and 0都是错误页面,换&&或者%26都不行,OR和XOR也都不行,order by也返回错误,注释符号也返回错误,那现在只希望这个传参的类型是整型的了。

2d8be8b7568b9c10161341918c3e2974.png

ecb3a36d6db929af940c0951aa568679.png

事实证明id=2-1返回了和id=1一样的数据

93ed362aa25a9ad84ebfa5224e8af866.png

那这里就很简单了,直接在1的位置输入payload就可以

比如:id=105-ascii(substring((DB_NAME()),1,1)),说明第一个字符的ascii值为104

过,我不想注入拿密码,后来事实证明真的解不出来

2.   弱口令?

是弱口令吗,我反正admin/admin进了后台

3c1351137224cc0b73287f261832d63c.png

成功跳转了index,但是这个cookie相当可疑啊!我用的admin登录的。U_ID=2就忍了,Name怎么还成user了,莫不是。。。但这里依然不能确定,但是这cookie的样子不是未授权就是越权啊

3.   未授权访问

于是乎尝试一波未授权,毕竟还是要写报告的

直接访问index页面,会有弹窗,身份过期,但是在你点击确定之后才跳转登陆页面,这就已经是漏洞了,如果能访问到东西,那就未授权无疑了

490bb07da6fa8484ba45d6debe75b139.png

而这种弹窗,非常好过的,把返回包的js代码删了就行,如下图

9f1fe8cba2078855171d7e1151f4ba91.png

页面停留在了,后台页面

8688f1f38aa1d9257708ad8bfa1de1b9.png

这种程度吧,其实应该也算未授权了,相当于后台整体框架被泄露,但是应该是个低危。于是乎测试了一下是否存在接口未授权,只能说某些接口吧。比如上面的上传,就是只能看,上传提交的页面会对身份信息进行验证,但是查看用户页面就不存在,直接查看,所有用户名和密码,如下图

5b04564389c730c401afa2b1c93f6d92.png

从返回信息的密码里面我尝试解码一波,16位应该是md5,但是没有解出来,admin这种口令按说肯定可以撞出来啊,为了进一步确定猜想,我看到user的密码和admin的密码是一样的

尝试登录user用户,口令为admin,登录失败,wtf?

应该就是了不是弱口令,可能是某程序员镶嵌在代码里的万能账户,无论修改密码与否,admin/admin是都能登录的,不知道算个啥洞

4.   文件上传之zip

为什么要把这个东西提一下,因为真的发现了,漏洞不一定上传脚本语言才是危害大。你可以上传html,有人可能会问html能干嘛?首先钓鱼,哥哥们都知道;st2里面存在可利用Webconsole的页面,你可以上个html的前置跳转页完成利用;甚至对于这种国家单位来说,你传个某些方向言论的html,简直是不好描述,妥妥的高危。而我今天选择了上传zip,哈哈哈

其实因为上传shell的方式我实在没绕过去,白名单加重命名一般就不想了,巧了zip是白名单

为什么说这个传zip是个漏洞呢,先来看看前台某页面

4e973c7392d90e58fde3cd127da36df4.png

这里的文件基本都是zip和rar的,供系统用户下载。而且,比如flash是必须装的,不然不能正常访问此系统,那么问题就来了,如果这个上传点可控,我可以直接压缩一个反弹马啊。

然后我找到了就是下面这个页面,自建资源

ed402a85951521461686fd7b3f40ebff.png

接下来,我们就可以用msf生成一个exe的反弹shell的木马文件,

da9f0e15e2e14e2f89a5191a9f95d2ce.png

改个名,压缩一下,免杀的话这里不提,只是思路,如下图flash.zip

493e15792b0380ced09ea5593318dea6.png

成功上传,如图

cb199b2c09037e492b1c3f7f60904414.png

看看前台效果,如下

48ab9b8d0c6bfc93cd712f045ffe3670.png

然后打开我们的msf设置payload后监听。

5e87feca90ab8b26ed2f30eced5caaf3.png

成功回弹,如下

1c1ff25bcfa0a12116cb7c477b0668a1.png

接下来对于Windows终端可以进行提权,一般windows都是在administrators组里面,我们需要过一下UAC。这里可以适用msf的exploit/windows/local/ask模块,如下

70f435a1afafdd696271713acc671f4b.png

成功得到system权限。

如果你觉得依靠用户发现后下载太慢的话,你甚至还可以发个公告,告诉大家,flash插件改更新了,反正你有万能账户。端起茶叶水,等着shell回弹。

此漏洞针对用户终端设备,但是可以获取大量敏感信息,比如用户信息,如果拿到相关单位信息科的某电脑,甚至可以直接获取大量登录账号密码。

总结

觉得这种有一点点意思,分享下,在我们日常挖洞中,可能某些不起眼的功能,会带来较大的危害。

acbcfff2af89a2dc19c4e241e9ca0c91.gif

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/409511.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

关于团队项目的一些感想——刘宇翔

技术确实很重要,但跟重要的是配合,毕竟以后写的可不是小项目。做项目,不是为了证明自己有多厉害,要的是团队,不是个人能力,虽然个人能力重要,但学会做人才是最重要的。1.先做代码规范。约定文件…

python编写安装脚本_2. 编写安装脚本

2.编写安装脚本The setup script is the centre of all activity in building, distributing, andinstalling modules using the Distutils. The main purpose of the setup script isto describe your module distribution to the Distutils, so that the variouscommands tha…

直接线性变换 matlab,直接线性变换解法

《直接线性变换解法》由会员分享,可在线阅读,更多相关《直接线性变换解法(72页珍藏版)》请在人人文库网上搜索。1、第七章 直接线性变换解法,Direct Linear Transformation-DLT,主要内容,7.1 概述 7.2 DLT解法的基本关系式 7.3 DLT解法的解算过程 7.4 DL…

【linux】——linux ls命令参数及用法详解---linux显示目录内容命令

linux系统中ls命令的用法详解ls命令是linux下最常用的命令。ls命令就是list的缩写,缺省下ls用来打印出当前目录的清单,如果ls指定其他目录,那么就会显示指定目录里的文件及文件夹清单。通过ls 命令不仅可以查看linux文件夹包含的文件,而且可以…

罗斯蒙特电磁流量计8723说明书_罗斯蒙特8732E电磁流量计故障原因及解决办法!...

今天我们来说说罗斯蒙特8732E电磁流量计的一些基本故障和解决办法,我们在排除电磁流量计的故障时,确定问题至关重要。下面提供了无法正常工作的电磁流量计表现出的常见症状。此表提供了潜在的原因以及为每种症状建议的纠正措施。流量计故障:0…

基于matlab的车流量检测,求解释代码,一段交通车流量检测的代码

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼大神求解释一下代码的意思,通俗点楼主新手啊~while ~isDone(hbfr)[y, cb, cr] step(hbfr);[cb, cr] step(hcr, cb, cr);image step(hcsc, cat(3,y,cb,cr));y im2single(y);y y-mean(y(:));fg_image step(hof, y);…

堆和栈的区别(转过无数次的文章)

一、预备知识—程序的内存分配 一个由C/C编译的程序占用的内存分为以下几个部分 1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其 操作方式类似于数据结构中的栈。 2、堆区&#xf…

mysql表数据提取工具,Jailer数据提取

软件简介Jailer工具一款功能强大的数据提取工具,此次小编给大家推荐的这款新版的软件中增加了在数据浏览器界面编辑和执行任意 SQL 语句的功能,通过也可以基于行对 SQL 语句执行结果的数据进行编辑,提升了语法高亮,推荐各位有需要…

python灰色模型代码_几行代码搞定ML模型,低代码机器学习Python库正式开源

机器之心报道机器之心编辑部PyCaret 库支持在「低代码」环境中训练和部署有监督以及无监督的机器学习模型,提升机器学习实验的效率。想提高机器学习实验的效率,把更多精力放在解决业务问题而不是写代码上?低代码平台或许是个不错的选择。最近…

分布式事务框架_阿里分布式事务框架GTS开源啦!

点击上方“Java后端技术”,选择“置顶或者星标”每天带你看高清大图哦!整理:开源中国就在9号这天,阿里分布式事务框架GTS开源了一个免费社区版Fescar,看到了这个消息内心非常的激动!在微服务系统中&#xf…

python3 readexcel pandas问题,使用python中的pandas中的read_excel函数将日期保留为字符串...

Python 2.7.10Tried pandas 0.17.1 -- function read_excelTried pyexcel 0.1.7 pyexcel-xlsx 0.0.7 -- function get_records()在Python中使用pandas时,是否可以读取excel文件(格式:xls | xlsx)并将包含 date 或 date time 值的列保留为 strings 而不…

SqlServer开发利器—SQL Prompt5

智能提示 SQL Prompt5的智能提示比SqlServer自带的要好很多,而且可以设置让关键字自动大写,对于数据库中的对象可以很方便的看到对象的创建脚本,如下图: 格式化代码 有时候我们把从程序中跟踪到的代码或是从SQL跟踪器中跟踪到的代…

php 数据类型伪类型,PHP之伪类型与变量

本文档中使用的伪类型与变量伪类型(pseudo -types)是PHP文档里用于指示参数可以使用的类型和值,请注意,它们不是PHP语言里原生类型,所以不能把伪类型用于自定义函数里面的类型约束(typehint)。mixedmixed说明一个参数可以接受多种不同的(但不…

unity text不能刷新_Unity使用ComputerShader实时压缩RT!

背景computer shader最近突然变得异常火热,原神和UE开发者大会多次被人提到通过computershader对手机平台的优化。一方面得益于最近手机硬件的提升,对computer shader的支持和性能提升。另一方面,新出的游戏对于画面质量的要求越来越高&#…